EP0615211B1

EP0615211B1 - Device for storing security data

Info

Publication number: EP0615211B1
Application number: EP93103951A
Authority: EP
Inventors: Stephan Günther; Christoph Kunde
Original assignee: Francotyp Postalia GmbH
Current assignee: Francotyp Postalia GmbH
Priority date: 1993-03-11
Filing date: 1993-03-11
Publication date: 1998-02-04
Anticipated expiration: 2013-03-11
Also published as: US5748638A; EP0615211A1; CA2116818C; CA2116818A1; DE59308113D1

Description

Die Erfindung betrifft ein Verfahren zum Speichern sicherheitsrelevanter Daten in einer Frankiermaschine, bei dem gleiche Daten in mehreren Speicherbereichen abgespeichert werden, die Daten aus den Speicherbereichen wieder ausgelesen und Daten des einen Speicherbereichs mit Daten eines anderen Speicherbereichs verglichen werden, und bei dem Speicherbereiche mit fehlerhaften Daten festgestellt werden.The invention relates to a method for storing security-relevant Data in a franking machine, where the same data is stored in several memory areas the data from the memory areas read out again and data from one memory area compared with data from another memory area and with the memory areas with faulty Data are determined.

Ein derartiges Verfahren erhöht die Datensicherheit in einer Frankiermaschine, da das Auftreten fehlerhafter Daten festgestellt und angezeigt werden kann. Solche Verfahren haben besondere Bedeutung beim Speichern sicherheitsrelevanter Daten, zu denen in Frankiermaschinen Portowerte gehören, die vor Manipulation durch Unberechtigte geschützt werden müssen. Im Speicher einer Frankiermaschine werden z.B. der Portorestbetrag gespeichert, der den noch nicht aufgebrauchten Portobetrag angibt und der bei jedem Frankiervorgang reduziert wird. Ferner wird der verbrauchte Portowert gespeichert, d.h. die Summe der beim Frankieren gedruckten Portowerte. Außerdem wird ein Kontrollwert gespeichert, der die während der Lebensdauer der Frankiermaschine verbrauchten Portowerte angibt.Such a method increases data security in a franking machine because the occurrence is faulty Data can be determined and displayed. Such Procedures are particularly important when saving security-relevant Data on which in franking machines Postage values include that against manipulation by unauthorized persons must be protected. In memory one Franking machines are e.g. the remaining postage amount is saved, the postage amount that has not yet been used up indicates and with each franking process is reduced. In addition, the used postage value saved, i.e. the total of those printed when franking Postage. A control value is also saved, which the during the life of the franking machine indicates used postage values.

Bei dem bekannten Verfahren werden gleiche sicherheitsrelevante Daten mehrfach abgespeichert. Zur Überprüfung der Daten auf Fehler werden diese Daten geladen und mit entsprechenden Daten aus den anderen Speicherbereichen verglichen. Anhand des Vergleichs kann zwar festgestellt werden, ob ein Datenfehler vorliegt, jedoch kann der Datenfehler selbst nicht behoben, d.h. die Daten nicht berichtigt werden. Die Frankiermaschine muß daher beim Auftreten eines Datenfehlers außer Betrieb gesetzt werden, was erhebliche wirtschaftliche Nachteile zur Folge haben kann. Ein solcher Betriebsvorfall führt zu erheblichen Kosten.In the known method, the same security-relevant Data saved several times. For checking of the data on errors, this data is loaded and with corresponding data from the other memory areas compared. Based on the comparison, it can be determined whether there is a data error, however the data error itself is not eliminated, i.e. the data not be corrected. The franking machine must therefore deactivated if a data error occurs become what significant economic disadvantages Can have consequences. Such an incident leads to considerable cost.

Ferner ist ein Verfahren zum Speichern von Daten bekannt, bei dem defekte Speicherelemente, welche die Ursache für Datenfehler sein können, markiert werden. Beim Abspeichern von neuen Daten werden die markierten Speicherelemente umgangen. Dieses Verfahren setzt voraus, daß die defekten Speicherelemente sicher erkannt werden können und daß die Datenfehler nicht sporadisch auftreten, wie es beispielsweise bei Datenfehlern der Fall sein kann, die durch spontanen radioaktiven Zerfall in einem elektrischen Speicher hervorgerufen werden.A method for storing data is also known, at the defective storage elements, which is the cause for data errors can be marked. When saving new data, the marked ones Bypassed storage elements. This procedure requires that the defective memory elements are reliably recognized can be and that the data errors are not sporadic occur, as is the case, for example, with data errors of the Case can be caused by spontaneous radioactive decay be caused in an electrical store.

In der EP 0 188 382 Bl ist ein Verfahren zum Speichern sicherheitsrelevanter Daten in einer Frankiermaschine beschrieben, bei dem ein Summenwert verbrauchter Postwerte mit einem vorbestimmten Testwert verglichen wird. Wenn beide Werte unterschiedlich sind, wird ein Fehlersignal ausgegeben, das auf einen Datenfehler hinweist.EP 0 188 382 B1 describes a method for storing Security-relevant data in a franking machine described in which a total value used Post values compared with a predetermined test value becomes. If both values are different, a Error signal issued that indicates a data error indicates.

Aus der EP 0 226 205 B1 ist ferner ein Speicherverfahren bekannt, bei dem Daten eines ersten Speicherbereichs in gleicher Weise in einen zweiten Speicherbereich abgelegt werden. Wenn ein schwerwiegender Fehler oder ein Hardwarefehler im ersten Speicherbereich auftritt, so werden die Daten des zweiten Speicherbereichs in einen vorab reservierten weiteren Speicherbereich eingeschrieben, der die Funktion des ersten Speicherbereichs übernimmt.From EP 0 226 205 B1 is also a Storage method known in which data of a first Storage area in the same way in a second Storage area. If a serious one Error or a hardware error in the first memory area occurs, the data of the second Memory area in a previously reserved further Memory area inscribed that the function of the takes over the first memory area.

Es ist Aufgabe der Erfindung, ein Verfahren zum Speichern sicherheitsrelevanter Daten in einer Frankiermaschine anzugeben, bei dem mit geringem Aufwand fehlerhafte Daten sicher festgestellt und bei Vorliegen bestimmter Fehlerarten die fehlerhaften Daten berichtigt werden.The object of the invention is a method for storing Security-relevant data in a franking machine specify where the faulty with little effort Data securely determined and when certain Types of errors corrected the incorrect data will.

Diese Aufgabe wird für ein Verfahren eingangs genannter Art dadurch gelöst, daß gleiche Daten in mindestens vier Speicherbereichen abgespeichert werden, daß die Daten eines jeden Speicherbereichs mit den Daten weiterer Speicherbereiche verglichen werden, und daß abhängig von diesem Vergleich der oder die Speicherbereiche mit fehlerhaften Daten festgestellt und gegebenenfalls mit Daten aus einem Speicherbereich mit nicht fehlerhaften Daten wieder geladen werden.This task is mentioned for a method at the beginning Art solved in that the same data in at least four memory areas are stored that the Data from each memory area with the data from others Memory areas are compared, and that depends from this comparison the memory area or areas detected with incorrect data and if necessary with data from a memory area with non-faulty ones Data are loaded again.

Gemäß der Erfindung werden gleiche Daten in mindestens vier Speicherbereichen abgespeichert. Diese Speicherbereiche können Teile eines einzigen Speichers sein oder in verschiedenen, voneinander elektronisch abgetrennten Speichern enthalten sein. Vorzugsweise sind die Speicherbereiche jeweils in separaten elektronischen Speichern enthalten, die möglichst unabhängig voneinander mit Strom versorgt werden und/oder verschiedene Speicherprinzipien anwenden. Dadurch wird die Wahrscheinlichkeit, daß mehrere Speicher gleichzeitig ausfallen, und damit ein Datenverlust eintritt, verringert.According to the invention, the same data in at least four memory areas saved. These storage areas can be parts of a single memory or in different, electronically separated from each other Save included. The storage areas are preferably each in separate electronic memories included, as independently as possible be powered and / or different storage principles apply. This increases the likelihood that several memories fail at the same time, and thus data loss occurs.

Bei der Erfindung wird nicht das fehlerhafte Datum oder Daten in einem oder mehreren Speicherbereichen selbst festgestellt, sondern derjenige Speicherbereich, in dem das fehlerhafte Datum oder fehlerhafte Daten enthalten sind. Hierzu werden die Daten eines jeden Speicherbereichs mit den Daten weiterer Speicherbereiche verglichen. Wenn zum Beispiel die Daten in vier Speicherbereichen abgespeichert werden, so kann jeder dieser vier Speicherbereiche mit den verbleibenden drei anderen Speicherbereichen verglichen werden. Dies bedeutet, daß bei diesem Beispiel sechs Vergleiche der Speicherinhalte untereinander ausgeführt werden. Die Vergleiche können byteweise bitorientiert unter Awendung einer Exklusiv-Oder-Verknüpfung durchgeführt werden. Da kein Unterschied gemacht wird, ob nur ein Bit einer Speicherstelle eines bestimmten Speicherbereiches oder sämtliche binären Daten eines Speicherbereichs fehlerhaft sind, können die Vergleiche sehr schnell mit Hilfe bekannter Vergleichsalgorhithmen ausgeführt werden. Die hohe Geschwindigkeit beim Vergleichen ist darauf zurückzuführen, daß die fehlerhaften Daten selbst nicht identifiziert werden müssen.In the invention, the incorrect date or Data in one or more storage areas themselves determined, but the memory area in which contain the incorrect date or data are. For this purpose, the data of each memory area compared with the data of other memory areas. For example, if the data is in four storage areas can be saved, so each of these four memory areas with the remaining three others Memory areas are compared. This means, that six comparisons of memory contents in this example be carried out among themselves. The comparisons can be bit-byte bit-oriented using a Exclusive OR operation can be carried out. Since no A difference is made whether there is only one bit Location of a certain memory area or all binary data of a storage area are incorrect, the comparisons can be made very quickly Using known comparison algorithms will. The high speed of comparison is due to the fact that the incorrect data themselves do not need to be identified.

Durch die Erfindung wird erreicht, daß bei einem bestimmten Datenfehlertyp der Speicherbereich mit fehlerhaften Daten festgestellt und mit nicht fehlerhaften Daten neu geladen werden kann. Dies soll anhand eines Beispiels kurz erläutert werden: Es sei angenommen, daß von vier Speicherbereichen zwei fehlerfreie Daten und zwei weitere Speicherbereiche fehlerhafte Daten enthalten. Bei den sechs Vergleichen der Daten der Speicherbereiche untereinander wird nun bei fünf Vergleichen fehlende Übereinstimmung der Daten festgestellt und lediglich bei den beiden Speicherbereichen mit fehlerfreien Daten stimmen diese überein. Bei diesem einfachen Fall können die fehlerfreien Speicherbereiche auf einfache Weise ermittelt werden. Die fehlerhaften Daten in den anderen Speicherbereichen werden dann mit fehlerfreien Daten der ordnungsgemäßen Speicherbereiche überschrieben. Auf diese Weise sind nach Durchführen des Verfahrens sämtliche vier Speicherbereiche mit fehlerfreien Daten gefüllt, ohne daß die fehlerhaften Daten genau identifiziert werden mußten.The invention ensures that at a certain Data error type of memory area with bad Data determined and with non-faulty Data can be reloaded. This is supposed to be based on a Examples are briefly explained: It is assumed that of four memory areas two error-free data and two further memory areas contain incorrect data. When comparing the six data of the memory areas among themselves is now in five comparisons data mismatch found and only in the two memory areas with error-free Data match these. With this simple Fall free memory areas can be determined in a simple manner. The faulty Data in the other memory areas are then saved with correct data of the correct memory areas overwritten. This way, after performing the method all four memory areas with error-free Data filled without the incorrect Data had to be identified exactly.

Bei einem bevorzugten Ausführungsbeispiel der Erfindung werden in mindestens zwei Speicherbereichen die Daten invertiert abgespeichert, wobei zum Vergleich mit nicht invertierten Daten die invertierten Daten negiert werden. Ein häufig vorkommender Datenfehler ist darin begründet, daß die Stromversorgung der oder des physikalischen Speichers, welcher einen oder mehrere Speicherbereiche enthält, ausfällt und sämtliche Daten dieses Speicherbereichs oder dieser Speicherbereiche den Wert 0 oder 1 haben. In einem solchen Fall wird bei den verschiedenen Vergleichen jeweils Übereinstimmung der Daten dieser Speicherbereiche festgestellt, obwohl ein gravierender Datenfehler vorliegt. Durch die Maßnahme der Weiterbildung wird ein solcher Zustand verhindert.In a preferred embodiment of the invention the data is stored in at least two memory areas stored inverted, whereby for comparison with not inverted data negates the inverted data will. A common data error is in it justifies that the power supply of the physical memory, which one or more Contains memory areas, fails and all data this memory area or these memory areas have the value 0 or 1. In such a case, the different comparisons of the data from these storage areas was noted, though there is a serious data error. Through the Such a condition becomes a measure of further education prevented.

Bei einer anderen Ausgestaltung der Erfindung erfolgt der Vergleich der Daten durch eine Exklusiv-Oder-Verknüpfung, wobei der Vergleich vorzugsweise byteweise bitorientiert durchgeführt wird. Bei dieser Art der Verknüpfung ist bei Übereinstimmung der Daten das binäre Ergebnis bei positiver Logik "0" bzw. "1" bei negativer Logik. Diese Verknüpfung läßt sich sehr schnell durchführen, so daß für die Vergleiche wenig Zeit beansprucht wird. Außerdem hat die Exklusiv-Oder-Verknüpfung den Vorteil, daß das Ergebnis unabhängig davon ist, ob nicht invertierte Daten oder invertierte Daten miteinander verglichen werden.In another embodiment of the invention the comparison of the data by an exclusive-OR link, the comparison preferably byte by byte bit-oriented. With this type of Linking is the binary if the data match Result with positive logic "0" or "1" with negative logic Logic. This link can be made very quickly perform so that little time is required for the comparisons becomes. It also has the exclusive-or link the advantage that the result regardless is whether non-inverted data or inverted Data are compared.

Eine bevorzugte Weiterbildung der Erfindung ist dadurch gekennzeichnet, daß eine Fehlerzahl ermittelt wird, die die Zahl der Vergleiche angibt, bei denen fehlende Übereinstimmung der Daten der Speicherbereiche festgestellt worden ist, und daß die Datenfehler abhängig von der Fehlerzahl behoben werden. Durch diese Maßnahme wird erreicht, daß die Art des Fehlers anhand der Fehlerzahl festgelegt werden kann. Da es für verschiedene Fehlerarten unterschiedliche Routinen zur Fehlerbehebung gibt, kann im Rahmen einer Softwareroutine anhand der Fehlerzahl zu Programmteilen verzweigt werden, die eine Fehleranalyse, eine Fehlerbehebung oder eine Fehleranzeige bewirken. Dadurch wird eine einfache und dennoch effiziente Fehleranalyse durchgeführt und Maßnahmen zur Fehlerbehebung eingeleitet.A preferred development of the invention is thereby characterized in that an error number is determined, the indicates the number of comparisons where missing Agreement of the data of the memory areas was found and that the data error depends on the number of errors can be eliminated. By this measure is achieved that the type of error based on the number of errors can be set. Since it is for different Different types of troubleshooting routines can, as part of a software routine the number of errors are branched to program parts that an error analysis, a troubleshooting or an error display cause. This makes it simple and nevertheless carried out efficient error analysis and measures initiated for troubleshooting.

Gemäß einer Weiterbildung der Erfindung wird vor oder beim Abspeichern der Daten in den Speicherbereichen aus den Daten eines jeden Speicherbereichs eine erste Prüfsumme gebildet und abgespeichert. Beim Auslesen der Daten oder danach wird über die Daten der Speicherbereiche jeweils eine zweite Prüfsumme ermittelt, die mit der ersten Prüfsumme verglichen wird. Wird ein Fehler festgestellt, so wird dieser abhängig vom Vergleich der Prüfsumme behoben. Die Prüfsumme kann nach Art des bekannten Parity-Verfahrens ermittelt werden. Hierbei werden die Daten in einer Matrix angeordnet und aus den Zeilendaten und/oder Spaltendaten Prüfbits ermittelt, die zu einem Datenwort zusammengesetzt als Prüfsumme verwendet werden. Da die Prüfsummen beim ersten Abspeichern der Daten und beim späteren Auslesen der Daten auf die gleiche Weise gebildet werden, macht sich ein Datenfehler auch in der Prüfsumme bemerkbar. Durch den Prüfsummenvergleich kann der Speicherbereich mit fehlerhaften Daten eingegrenzt werden und so Maßnahmen zum Beheben des Fehlers ergriffen werden.According to a development of the invention, before or when saving the data in the memory areas a first checksum in the data of each memory area formed and saved. When reading the Data or afterwards is over the data of the memory areas each determines a second checksum, which with the first checksum is compared. Will be a mistake determined, this is dependent on the comparison of the Checksum fixed. The checksum can be of the known type Parity procedure can be determined. Here the data are arranged in a matrix and from the Row data and / or column data check bits determined, which are combined into a data word as a checksum be used. As the checksums when saving for the first time the data and when later reading out the data be formed in the same way, can Data errors also noticeable in the checksum. By the Checksum comparison can be the memory area with faulty Data are limited and so measures to Eliminate the error.

Ein Beispiel, bei dem gleiche Daten in vier Speicherbereichen abgespeichert werden, soll dies verdeutlichen. Es wird angenommen, daß bei den sechs Vergleichen der Daten eines jeden Speicherbereichs mit den Daten der anderen Datenbereiche drei Vergleiche mit fehlender Übereinstimmung der Daten festgestellt worden sind. Dies kann bedeuten, daß einer der vier Speicherbereiche ein defektes Datum enthält und die anderen drei Speicherbereiche keine fehlerhaften Daten enthalten. Drei Vergleiche, in denen Datenfehler festgestellt werden, liegen aber auch vor, wenn die Daten nur eines einzigen Speicherbereichs fehlerfrei sind, wobei die anderen drei Speicherbereiche jeweils gleiche Fehler haben, beispielsweise wegen Spannungsausfall nur Daten "0" oder "1" enthalten. Es liegen also verschiedene Fehlerarten bei gleicher Fehlerzahl vor. Diese Fehlerzahl liefert dann kein Kriterium zur Unterscheidung dieser Fehlerarten und zur Einleitung weiterer Maßnahmen zur Fehlerbehebung. Anhand eines Prüfsummenvergleichs kann bei diesem Beispiel herausgefunden werden, ob nur ein Speicherbereich defekte Daten enthält, oder ob drei Speicherbereiche fehlerhafte Daten enthalten.An example where the same data in four memory areas should be saved to make this clear. It is believed that in the six comparisons, the Data of each memory area with the data of the other data areas three comparisons with missing Agreement of the data has been determined. This can mean that one of the four memory areas contains a defective date and the other three memory areas contain no incorrect data. Three Comparisons where data errors are found but are also available if the data of only one Memory area are error-free, the others three memory areas each have the same errors, for example due to power failure only data "0" or "1" included. So there are different types of errors with the same number of errors. This number of errors then does not provide a criterion for distinguishing these Types of errors and the initiation of further measures for Troubleshooting. Using a checksum comparison in this example, you can find out if just one Memory area contains defective data, or whether three Memory areas contain incorrect data.

Ein anderes Ausführungsbeispiel der Erfindung ist dadurch gekennzeichnet, daß bei einer Fehlerzahl 6 für jeden Speicherbereich ein Prüfsummenvergleich durchgeführt wird, und daß bei negativem Ergebnis aller Prüfsummenvergleiche ein Fehlersignal erzeugt wird, das angibt, daß der Fehler nicht behoben werden kann. Dieser Fall liegt vor, wenn in allen vier Speicherbereichen jeweils die Daten fehlerhaft sind, wobei sich die Fehler voneinander unterscheiden. In diesem Fall ist kein Speicherbereich vorhanden, dessen Daten zur Restaurierung anderer Speicherbereiche verwendet werden könnte. Daher wird bei diesem Ausführungsbeispiel angezeigt, daß ein Datenverlust aufgetreten ist, der mit den hier beschriebenen Maßnahmen nicht behoben werden kann.Another embodiment of the invention is thereby characterized in that with an error number 6 for a checksum comparison was carried out for each memory area and that if all checksum comparisons are negative an error signal is generated that indicates that the error cannot be corrected. This Case exists when in all four memory areas each time the data is incorrect, with the errors differentiate from each other. In this case there is none Memory area available, its data for restoration other memory areas could be used. Therefore, in this embodiment, it is shown that there has been a loss of data with the one here described measures can not be remedied.

Ferner kann vorgesehen sein, daß die über einen vorgegebenen Zeitraum je Speicherbereich auftretenden Fehler ermittelt und angezeigt werden. Dadurch wird es möglich, aufgrund der Häufigkeit der Datenfehler auf einen Defekt in der Hardware und/oder Software zu schließen, die für das Speichern verwendet werden. Die entsprechenden Speicherbereiche bzw. physikalischen Speichereinheiten können anhand einer Fehleranalyse identifiziert und gegebenenfalls ausgetauscht werden.It can further be provided that the over a predetermined Time period per error area occurring determined and displayed. This makes it possible due to the frequency of data errors on one Close defect in hardware and / or software, which are used for saving. The corresponding Storage areas or physical storage units can be identified using an error analysis and replaced if necessary.

Bei einem weiteren Ausführungsbeispiel ist vorgesehen, daß die oben beschriebenen Verfahren selbstätig in vorgegebenen Zeitabständen durchgeführt werden. Dadurch wird erreicht, das auch Ereignisse, die Datenfehler hervorrufen und die nicht im Zusammenhang mit Speichervorgängen stehen, beispielsweise durch spontanen radioaktiven Zerfall hervorgerufene Datenfehler, zuverlässig erkannt und gegebenenfalls behoben werden. Außerdem ist es auch möglich, die oben beschriebenen Verfahren abhängig von einem äußeren Ereignis durchzuführen. Ein solches Ereignis kann zum Beispiel das Aufrufen einer Testroutine durch eine Bedienperson sein. Dadurch wird das Überprüfen der Frankiermaschine auf Datensicherheit unterstützt und die Diagnose von Fehlern erleichtert.In a further exemplary embodiment, that the methods described above automatically in predetermined Time intervals are carried out. Thereby is achieved that also events, the data errors cause and not in connection with storage operations stand, for example by spontaneous radioactive Decay caused data errors, reliable recognized and corrected if necessary. Besides, is it is also possible to depend on the procedures described above to perform from an external event. A such an event can, for example, call a Test routine by an operator. This will checking the franking machine for data security supported and the diagnosis of errors facilitated.

Ausführungsbeispiele der Erfindung werden im folgenden anhand der Zeichnungen erläutert. Darin zeigt:

Figur 1: eine schematische Darstellung der Anordnung von vier Speicherbereichen in zwei voneinander unabhängigen elektronischen Speichern,
Tabelle 1 bis 6: verschiedene Fehlertypen und die für diese charakteristische Vergleichsergebnisse,
Figur 2a bis 2e: ein Flußdiagramm, das die Vefahrensschritte zum Speichern sicherheitsrelevanter Daten und die Behebung von Datenfehlern wiedergibt, und
Figur 3: ein Flußdiagramm eines einfachen Ausführungsbeispiels, bei dem keine Fehlerzahl ermittelt und kein Prüfsummenvergleich durchgeführt wird,
Figur 4: eine schematisch Darstellung einer Anordnung nach Fig. 1, wobei nur vier Datenvergleiche durchgeführt werden.
Figur 5a und 5b: ein Flußdiagramm eines Ausführungsbeispiels mit einer Anordnung nach Figur 4, bei dem die Fehlertypen 1 und 3 bis 6 behandelt werden.

Embodiments of the invention are explained below with reference to the drawings. It shows:

Figure 1: 1 shows a schematic representation of the arrangement of four memory areas in two independent electronic memories,
Tables 1 to 6: different types of errors and the comparison results characteristic of these,
Figure 2a to 2e: a flowchart showing the steps in the process of storing safety-relevant data and the correction of data errors, and
Figure 3: 1 shows a flow diagram of a simple exemplary embodiment in which no number of errors is determined and no checksum comparison is carried out,
Figure 4: a schematic representation of an arrangement according to FIG. 1, wherein only four data comparisons are carried out.
Figure 5a and 5b: a flow chart of an embodiment with an arrangement according to Figure 4, in which the error types 1 and 3 to 6 are dealt with.

In Figur 1 hat ein erster elektronischer Speicher 10 zwei Speicherbereiche a und c, in denen in einer Frankiermaschine zu speichernde sicherheitsrelevante gleiche Daten A bzw. C abgespeichert werden. Ein zweiter elektronischer Speicher 12, der vom Speicher 10 physikalisch getrennt ist und eine separate Stromversorgung hat, enthält zwei Speicherbereiche b und d, in denen ebenfalls gleiche sicherheitsrelevante Daten B und D in invertierter Form gespeichert werden. Aus den Daten A bis D wird jeweils eine erste Prüfsumme PSA, PSB, PSC und PSD gebildet und im zugehörigen Speicherbereich a bis d gespeichert. Wie noch erläutert wird, werden diese Prüfsummen PSA bis PSD zur Identifizierung fehlerhafter Speicherbereiche a bis d verwendet.1 has a first electronic memory 10 two memory areas a and c, in which in a franking machine security-relevant same to be stored Data A or C can be saved. A second electronic memory 12, the memory 10 physically is separated and a separate power supply has two memory areas b and d, in which likewise the same security-relevant data B and D can be saved in inverted form. From the data A to D is a first checksum PSA, PSB, PSC and PSD formed and in the associated memory area a saved to d. As will be explained these checksums PSA to PSD for the identification of faulty Memory areas a to d are used.

Beim hier beschriebenen Ausführungsbeispiel werden die Daten eines jeden Speicherbereichs mit den Daten eines jeden anderen Speicherbereichs verglichen. Dies bedeutet, daß sechs Vergleiche V1 bis V6 durchgeführt werden, wie durch Pfeile in der Figur 1 angedeutet ist. Bei diesen Vergleichen wird in einem schnellen Prüfverfahren durch Direktvergleich der Daten A bis D untereinander festgestellt, ob die Daten (z.B. Daten A) eines oder mehrerer Speicherbereiche a bis d von den anderen Daten (z.B. Daten B bis D) abweichen oder nicht. Bei einer Abweichung wird nicht festgestellt, ob mehrere Daten oder ein bestimmtes Datum fehlerhaft ist. Der hierfür erforderliche Zeit- und Rechenaufwand wäre zu groß. Da auf eine solche Einzelanalyse verzichtet wird, ist es möglich, die Vergleiche in kurzer Zeit mit einfachen Softwareroutinen durchzuführen. Beispielsweise können die Vergleiche der Daten A bis D untereinander durch Exklusiv-Oder-Verknüpfungen erfolgen.In the embodiment described here, the Data of each memory area with the data of one compared to any other memory area. This means, that six comparisons V1 to V6 are carried out, as indicated by arrows in Figure 1. These comparisons are carried out in a quick test procedure by directly comparing data A to D with each other determined whether the data (e.g. data A) one or more memory areas a to d of the other data (e.g. data B to D) or Not. If there is a discrepancy, it is not determined whether multiple dates or a specific date is incorrect. The time and computing effort required for this would be too large. Since there is no such individual analysis is, it is possible to use the comparisons in a short time to carry out simple software routines. For example can compare the data A to D with each other by exclusive-OR operations.

Zum Vergleichen gleichartiger Daten untereinander, d.h. invertierter bzw. nicht invertierter Daten, müssen diese nicht umgewandelt werden. Sind jedoch ungleichartige Daten untereinander zu vergleichen, so wird ein Satz der Daten vor Ausführen der Exclusiv-Oder-Verknüpfung negiert. Eine andere Möglichkeit besteht darin, den Vergleich ohne Änderung der Daten durchzuführen und dafür das Ergebnis der Exclusiv-Oder-Verknüpfung zu invertieren.To compare similar data, i.e. inverted or non-inverted data these are not converted. However, they are dissimilar To compare data with each other, so a Set the data before executing the exclusive-or link negated. Another option is there in making the comparison without changing the data and the result of the exclusive-OR link to invert.

In den Tabellen 1 bis 6 sind Beispiele für verschiedene Fehlertypen 1 bis 6 angegeben, die nach dem Verfahren der Erfindung erkannt werden. In Tabelle 1 wird der Fehlertyp 1 behandelt. Bei diesem Fehlertyp hat ein Speicherbereich einen Datenfehler, d.h. ein Datum oder mehrere Daten unter den gesamten Daten im betreffenden Speicherbereich ist fehlerhaft. Die Daten in den anderen Speicherbereichen sind jeweils einwandfrei. In Tabelle 1 ist beispielhaft angenommen, daß die Daten A im Speicherbereich a fehlerhaft sind, während die Daten B, C, D in den Speicherbereichen b, c, d keinen Datenfehler haben. Gemäß dem Ausführungsbeispiel der Erfindung werden sechs Vergleiche V1 bis V6 der Daten A bis D untereinander durchgeführt, wobei es sich zeigt, daß drei Vergleiche V1,V2, V3 fehlende Übereinstimmung der Daten zeigen. Beim hier gewählten Beispiel sind an solchen Vergleichen mit fehlender Übereinstimmung jeweils die Daten A beteiligt. Es wird eine Fehlerzahl Z ermittelt, die angibt, wie oft fehlende Übereinstimmung der Daten A bis D der Speicherbereiche a bis d bei den Vergleichen V1 bis V6 festgestellt worden ist. Im vorliegenden Fall hat der Fehlerzähler Z den Wert 3. Ferner wird eine Fehlerzahl Z' angegeben, die sich auf die Vergleiche V1, V2, V5 und V6 bezieht und die bei einem später noch zu beschreibenden Ausführungsbeispiel ausgewertet wird.Tables 1 through 6 are examples of different ones Error types 1 through 6 specified by the procedure of the invention can be recognized. Table 1 shows the Error type 1 handled. This type of error has a Memory area a data error, i.e. a date or multiple data among the total data in the Memory area is faulty. The dates in the others Storage areas are always flawless. In table 1 is assumed, for example, that the data A in memory area a are corrupt while the data B, C, D in the memory areas b, c, d no data error to have. According to the embodiment of the invention six comparisons V1 to V6 of data A to D carried out with each other, showing that three comparisons V1, V2, V3 disagreement of the Show data. In the example chosen here are on such comparisons with disagreement respectively the data involved A. An error number Z determines how many times there is a mismatch the data A to D of the memory areas a to d in the Compare V1 to V6 has been found. In the present In this case, the error counter Z has the value 3. Furthermore, an error number Z 'is given, which is based on the comparisons V1, V2, V5 and V6 relates and the at an embodiment to be described later is evaluated.

In Tabelle 2 ist ein Beispiel für den Fehlertyp 2 dargestellt. Bei diesem Fehlertyp sind die Daten, zum Beispiel Daten A, fehlerfrei, während die Daten, zum Beispiel Daten B, C, D, fehlerhaft sind, wobei jeweils der selbe Fehler vorliegt. Beispielsweise kann es sein, daß die Daten B, C, D wegen eines Hardwarefehlers sämtliche den Wert "0" haben. Die Vergleichsergebnisse V1 bis V6 beim Vergleich der Daten A bis D untereinander zeigen fehlende Übereinstimmung bei drei Vergleichen V1, V2, V3. Dementsprechend hat der Fehlerzähler Z den Wert 3, wie auch beim vorhergehenden Beispiel mit Fehlertyp 1.Table 2 shows an example of error type 2. For this type of error, the data is, for example Data A, error-free while the data, for example Data B, C, D, are incorrect, with each of the same error is present. For example, it may be that data B, C, D all due to a hardware failure have the value "0". The comparison results V1 to V6 show when comparing data A to D. mismatch in three comparisons V1, V2, V3. Accordingly, the error counter Z has the value 3, as in the previous example with error type 1.

In Tabelle 3 ist ein Beispiel für den Fehlertyp 3 dargestellt. Bei diesem Fehlertyp sind die Daten eines einzigen Speicherbereichs einwandfrei, zum Beispiel die Daten A, während die Daten der anderen Speicherbereiche, zum Beispiel die Daten B, C, D fehlerhaft sind, wobei unterschiedliche Datenfehler vorliegen. Anhand der in der Tabelle 3 gezeigten Vergleichsergebnisse der Vergleiche V1 bis V6 ist zu erkennen, daß der Fehlerzähler Z den Wert 6 hat.Table 3 shows an example of error type 3. With this type of error, the data is one single memory area properly, for example the Data A, while the data of the other memory areas, for example the data B, C, D are incorrect, where there are different data errors. Based of the comparison results shown in Table 3 of Comparing V1 to V6 it can be seen that the error counter Z has the value 6.

Für den Fehlertyp 4 wird in Tabelle 4 ein Beispiel angegeben. Dieser Fehlertyp 4 betrifft zwei Speicherbereiche, deren Daten jeweils den selben Fehler haben. In Tabelle 4 wird als Beispiel angenommen, daß die Daten A, C in den Speicherbereichen a, c gleiche Fehler haben. Die Daten B und D in den Speicherbereichen b, d sind fehlerfrei. Die in der Tabelle 4 angegebenen sechs Vergleiche V1 bis V6 führen zu dem Ergebnis, daß vier Vergleiche, nämlich V1, V3, V4 und V6, fehlende Übereinstimmung der Daten zeigen. Der Fehlerzähler Z hat demnach den Wert 4.An example is given in Table 4 for error type 4. This type of error 4 affects two memory areas, whose data each have the same error. In Table 4 is taken as an example that the data A, C in the memory areas a, c same errors to have. The data B and D in the memory areas b, i.e. are flawless. The six listed in Table 4 Comparisons V1 to V6 lead to the result that four Comparisons, namely V1, V3, V4 and V6, are missing Show agreement of the data. The error counter Z therefore has the value 4.

In Tabelle 5 wird der Fehlertyp 5 behandelt, bei dem die Daten in zwei Speicherbereichen fehlerhaft sind und verschiedene Fehler haben. Die Daten in den anderen Speicherbereichen sind fehlerfrei. In Tabelle 5 wird als Beispiel angenommen, daß die Daten A, C fehlerhaft und die Daten B, D fehlerfrei sind. Die Vergleiche V1 bis V6 der Daten A bis D untereinander führen zum Ergebnis, daß bei fünf Vergleichen V1 bis V4 und V6 fehlende Übereinstimmung der Daten der Speicherbereiche a bis d vorliegt. Der Fehlerzähler Z hat demnach den Wert 5.Table 5 deals with error type 5 in which the data in two memory areas are incorrect and have different mistakes. The dates in the others Memory areas are free of errors. In Table 5 As an example, assume that the data A, C is incorrect and the data B, D are error-free. Comparisons V1 to V6 of data A to D among themselves lead to the result, that in five comparisons V1 to V4 and V6 are missing Agreement of the data of the memory areas a until d is present. The error counter Z therefore has the value 5.

Schließlich wird noch in Tabelle 6 der Fehlertyp 6 behandelt, bei dem die Daten A bis D in den vier Speicherbereichen a bis d verschiedene Fehler haben. Kein Vergleich V1 bis V6 zeigt hier eine Übereinstimmung der Daten. Der Fehlerzähler Z hat den Wert 6. Finally, Table 6 deals with error type 6, in which the data A to D in the four memory areas a to d have different errors. No Comparison V1 to V6 shows that the Data. The error counter Z has the value 6.

In den Figuren 2a bis 2e sind Verfahrensschritte des Ausführungsbeispiels mit vier Speicherbereichen a, b, c, d und den zugehörigen Daten A, B, C, D in einem Flußdiagramm dargestellt. Bei diesem Ausführungsbeispiel werden die in den Tabellen 1 bis 6 behandelten Fehlertypen 1 bis 6 erkannt und geeignete Maßnahmen zur Behebung des Fehlers oder zur Fehleranzeige ergriffen. Gemäß Figur 2a werden nach dem Start im Verfahrensschritt 20 die sicherheitsrelevanten gleichen Daten A, B, C, D erzeugt und in den Speicherbereichen a, b, c, d gespeichert (Schritt 22). Im Schritt 24 ist angegeben, daß aus den Daten A bis D eine erste Prüfsumme PSA bis PSD gebildet und gespeichert wird, vorzugsweise in den zugehörigen Speicherbereichen a bis d. Das Erzeugen der Prüfsummen PSA bis PSD kann vor oder beim Abspeichern der Daten A bis D erfolgen.In FIGS. 2a to 2e, process steps of the Embodiment with four memory areas a, b, c, d and the associated data A, B, C, D in one Flow chart shown. In this embodiment are treated in Tables 1 to 6 Error types 1 to 6 recognized and suitable measures for Correction of the error or taken to display the error. According to FIG. 2a, after the start in the process step 20 the security-relevant same data A, B, C, D generated and in the memory areas a, b, c, d saved (step 22). Step 24 specifies that from the data A to D a first checksum PSA to PSD is formed and stored, preferably in the associated memory areas a to d. The creation of the Checksums PSA to PSD can be saved before or during saving of data A to D.

Im Verfahrensschritt 26 wird geprüft, ob eine Datenüberprüfung durchgeführt werden soll. Eine solche Prüfung kann selbsttätig in vorgegebenen Zeitabständen oder abhängig von einem äußeren Ereignis durchgeführt werden, beispielsweise im Rahmen eines Funktionstests. Falls eine Datenüberprüfung erfolgen soll, so werden im Verfahrensschritt 28 die Daten A bis D geladen und die Daten eines jeden Speicherbereichs a bis d mit den Daten der anderen Speicherbereiche a bis d verglichen. Bei vier Speicherbereichen sind also die in den Tabellen 1 bis 6 gezeigten sechs Vergleiche V1 bis V6 durchzuführen. Bei diesen Vergleichen V1 bis V6 wird eine Fehlerzahl Z ermittelt, die angibt, wie oft fehlende Übereinstimmung der Daten A bis D der Speicherbereiche a bis d vorliegt. Wird im Schritt 30 festgestellt, daß kein Fehler vorliegt, d.h. Z = 0 ist, so wird im nachfolgenden Schritt 32 dieses Ergebnis zu statistischen Zwecken ausgewertet und das Programm, in welchem die einzelnen Verfahrensschritte gespeichert sind, im Schritt 34 verlassen.In step 26, it is checked whether there is a data check to be carried out. Such a test can automatically at predetermined intervals or depending on an external event , for example as part of a functional test. If a data check is to take place, then in Method step 28 loads the data A to D and the Data of each memory area a to d with the Data of the other memory areas a to d compared. So if there are four memory areas, they are in the tables 1 to 6 shown six comparisons V1 to V6. In these comparisons V1 to V6 one Number of errors Z determined, which indicates how often missing Agreement of data A to D of the memory areas a to d is present. If it is determined in step 30 that there is no error, i.e. Z = 0, so in the following Step 32 to statistical this result Evaluated for purposes and the program in which the individual process steps are stored in Leave step 34.

Falls in Schritt 36 festgestellt wird, daß der Fehlerzähler Z = 3 ist, so wird zum Programmabschnitt I verzweigt. Hat der Fehlerzähler den Wert Z = 4, so wird im Schritt 38 zum Programmabschnitt II verzweigt. Bei einem Fehlerzähler Z = 5 wird im Schritt 40 zum Programmabschnitt III gesprungen, andernfalls zum Programmabschnitt IV.If it is determined in step 36 that the error counter Z = 3, the program branches to program section I. If the error counter has the value Z = 4, then Step 38 branches to program section II. At an error counter Z = 5 becomes a program section in step 40 III jumped, otherwise to the program section IV.

In der folgenden Beschreibung der Programmabschnitte I bis IV werden Beispiele für Datenfehler behandelt, die mit denen in den Tabellen 1 bis 6 übereinstimmen. Bei dem in Figur 26 gezeigten Programmabschnitt I wird im Schritt 42 festgestellt, daß die Daten A jeweils an Vergleichen beteiligt waren, die fehlerhafte Übereinstimmung der Daten zeigten. Im darauf folgenden Verfahrensschritt 44 wird aus den aktuellen Daten A eine zweite Prüfsumme PSA' gebildet. Im Verfahrensschritt 46 wird nun überprüft, ob die zweite Prüfsumme PSA' mit der ersten Prüfsumme PSA übereinstimmt. Falls dies zutrifft, so liegt der Fehlertyp 1 vor, was im Verfahrensschritt 48 festgestellt wird. Bei dem gewählten Beispiel (vgl. Tabelle 1) sind die Daten B, C und D fehlerfrei. Um die Daten im Speicherbereich a zu berichtigen, werden daher im Verfahrensschritt 50 die Daten B, C oder D in den Speicherbereich a geladen, der danach berichtigte neue Daten An enthält. Aus diesen Daten An wird im Verfahrensschritt 52 die Prüfsumme PSAn gebildet, die bei zukünftigen Datenüberprüfungen als erste Prüfsumme PSA verwendet wird. In the following description of the program sections I to IV are examples of data errors that agree with those in Tables 1 to 6. At program section I shown in FIG Step 42 found that data A was on Comparisons were involved in the incorrect match of the data showed. In the subsequent process step 44 becomes A from the current data second checksum PSA 'formed. In step 46 is now checked whether the second checksum PSA 'with the first checksum PSA matches. If so, so there is error type 1, what in the process step 48 is determined. With the chosen one Examples (see Table 1) are data B, C and D flawless. To correct the data in memory area a, are therefore in step 50 Data B, C or D loaded into memory area a, the thereafter corrected new data to contains. From these Data On becomes the checksum in method step 52 PSAn formed during future data reviews PSA is used as the first checksum.

Danach wird zum Verfahrensschritt 54 weitergegangen, in welchem der Datenfehler ausgewertet wird. Hierzu wird der Fehlertyp und der Speicherbereich festgehalten, in welchem der Datenfehler aufgetreten ist. Diese Daten werden statistisch ausgewertet und geben Auskunft über die Datensicherheit der Frankiermaschine bzw. die Ausfallhäufigkeit eines Speicherbereichs oder eines elektronischen Speichers. Danach wir im Schritt 56 das Programm verlassen.The method step 54 is then continued in FIG which of the data errors is evaluated. To do this the type of error and the memory area recorded in which the data error occurred. These dates are statistically evaluated and provide information about the data security of the franking machine or the frequency of failure a memory area or an electronic one Memory. Then the program in step 56 leave.

Falls im Schritt 46 Übereinstimmung der Prüfsummen PSA' und PSA festgestellt wird, so wird zum Schritt 58 verzweigt. Hier wird festgestellt, daß der Fehlertyp 2 vorliegt, wie er z.B. in Tabelle 2 definiert ist. Im nachfolgenden Schritt 60 werden die fehlerfreien Daten A in die Speicherbereiche b, c, d als neue Daten Bn, Cn und Dn gespeichert. Aus diesen Daten Bn, Cn, Dn werden jeweils Prüfsummen PSBn, PSCn und PSDn gebildet, die bei einer Wiederholung der Datenüberprüfung als erste Prüfsummen PSB, PSC, PSD verwendet werden. Anschließend wird über Verfahrensschritt 54 zum Verfahrensschritt 56 weitergegangen und das Programm beendet.If in step 46 the checksums PSA 'match and PSA is determined, the process branches to step 58. Here it is determined that the error type 2 is present, e.g. is defined in Table 2. in the subsequent step 60 becomes the error-free data A into the memory areas b, c, d as new data Bn, Cn and Dn saved. From these data Bn, Cn, Dn Checksums PSBn, PSCn and PSDn are generated, which when repeating the data check as first checksums PSB, PSC, PSD are used. Subsequently becomes process step 54 via process step 56 continued and the program ended.

In Figur 2c sind die Verfahrensschritte des Programmabschnitts II dargestellt. Dieser Programmabschnitt wird abgearbeitet, wenn der Fehlerzähler Z = 4 ist, d.h. es liegt der Fehlertyp 4 vor (Schritt 60). Im Schritt 62 wird festgestellt, welche Vergleiche V1 bis V6 positives Ergebnis haben. Beim gewählten Beispiel (vergleiche Tabelle 4) haben der zweite und fünfte Vergleich V2, V5 positives Ergebnis, d.h. die Daten A und C sowie B und D stimmen überein. Es wird nun im Schritt 64 aus den Vergleichen V2, V5 mit positivem Ergebnis ein Speicherbereich ausgewählt, zum Beispiel der Speicherbereich a, und aus den zugehörigen aktuellen Daten, die zweite Prüfsumme PSA' gebildet. Im nachfolgenden Schritt 66 wird überprüft, ob die zweite Prüfsumme PSA' mit der ersten Prüfsumme PSA übereinstimmt. Falls dies der Fall ist, wird im Schritt 68 festgelegt, daß die Daten, die am zweiten Vergleich V2 teilgenommen haben, fehlerfrei sind. Im vorliegenden Beispiel sind dies die Daten A und C. Im Schritt 70 werden nun diese Daten A oder C in die Speicherbereiche b und d mit den fehlerhaften Daten B und D geladen, so daß in diesen Speicherbereichen nunmehr fehlerfreie neue Daten Bn, Dn enthalten sind. Beim Speichern der Daten A oder C in die Speicherbereiche b und d oder davor werden aus den neuen Daten Bn und Dn jeweils die Prüfsumme PSBn, PSDn gebildet und in den zugehörigen Speicherbereichen b und d mit abgespeichert. Diese Prüfsummen PSBn, PSDn werden bei zukünftigen Datenüberprüfungen als erste Prüfsummen PSB, PSD verwendet. Im darauffolgenden Schritt 80 wird der festgestellte Fehler statistisch ausgewertet und anschließend im Schritt 82 das Programm beendet.2c shows the method steps of the program section II shown. This section of the program will processed when the error counter Z = 4, i.e. it there is error type 4 (step 60). In step 62 it is determined which comparisons V1 to V6 positive To have a result. In the example chosen (compare Table 4) have the second and fifth comparisons V2, V5 positive result, i.e. the data A and C as well as B and D match. It is now in step 64 from the Compare V2, V5 with a positive result to a memory area selected, for example the memory area a, and from the associated current data, the second Checksum PSA 'formed. In the subsequent step 66 it is checked whether the second checksum PSA 'with the first checksum PSA matches. If so is determined in step 68 that the data that participated in the second comparison V2, without errors are. In the present example, this is data A and C. In step 70, this data is now A or C in the memory areas b and d with the incorrect data B and D loaded so that in these memory areas error-free new data Bn, Dn are now contained. When saving data A or C in the Memory areas b and d or before are made from the new data Bn and Dn the checksum PSBn, PSDn formed and in the associated memory areas b and d saved with. These checksums are PSBn, PSDn as the first checksums for future data checks PSB, PSD used. In the subsequent step 80 the detected error is statistically evaluated and then the program ends in step 82.

Falls die im Prüfschritt 66 miteinander verglichenen Prüfsummen PSA' und PSA nicht übereinstimmen, so wird im nachfolgenden Schritt 74 festgelegt, daß die Daten des anderen Vergleichs (Vergleich V5) mit positivem Ergebnis fehlerfrei sind, d.h. die Daten B und D. Diese Daten B oder D werden im Schritt 76 in die Speicherbereiche a und c geladen und im Verfahrensschritt 78 aus den neuen Daten An, Cn jeweils die Prüfsummen PSAn und PSCn gebildet. Anschließend wird über die Schritte 80 und 82 das Programm verlassen. If the ones compared in test step 66 Checksums PSA 'and PSA do not match, so in the subsequent step 74 determined that the data the other comparison (comparison V5) with a positive result are error-free, i.e. the data B and D. This Data B or D is stored in the memory areas in step 76 a and c loaded and off in method step 78 the new data An, Cn the checksums PSAn and PSCn formed. Then step 80 and 82 exit the program.

Zu dem in Fig. 2d dargestellten Programmabschnitt III wird verzweigt, wenn der Fehlerzähler Z = 5 ist. Demgemäß liegt der Fehlertyp 5 vor (vergleiche Tabelle 5), was im Schritt 84 festgestellt wird. Im nachfolgenden Schritt 86 wird ermittelt, welcher Vergleich Übereinstimmung der Daten erbrachte. Beim gewählten Beispiel ist es der Vergleich V5 mit den beteiligten Daten B und D. Demgemäß werden im Schritt 88 die fehlerfreien Daten B oder D in die anderen Speicherbereiche a und c geladen. Im Schritt 90 wird aus den neuen Daten An und Cn in den Speicherbereichen a, c jeweils die Prüfsumme PSAn bzw. PSCn gebildet, die bei erneuter Ausführung des Verfahrens nach diesem Ausführungsbeispiel als erste Prüfsummen PSA, PSC verwendet werden. Über den Schritt 92 mit statistischer Auswertung der Fehler wird im Schritt 94 das Programm verlassen.The program section III shown in FIG. 2d is branched when the error counter Z = 5. Accordingly there is error type 5 (see table 5), which is determined in step 84. In the following Step 86 determines which comparison match who provided data. In the chosen example it is the comparison V5 with the data B and involved D. Accordingly, in step 88 the error free data B or D loaded into the other memory areas a and c. In step 90, the new data An and Cn the checksum in the memory areas a, c PSAn or PSCn formed when executed again the method according to this embodiment as first checksums PSA, PSC are used. On the Step 92 with statistical evaluation of the errors exit the program in step 94.

Der in Figur 2e dargestellte Programmabschnitt IV wird bei einem Fehlerzähler Z = 6 abgearbeitet. Dieser Fehlerzahl Z ist der Fehlertyp 3 oder 6 zugeordnet (vgl. Tabelle 3 und 6), was im Schritt 96 angegeben ist. Im darauffolgenden Schritt 98 wird aus den aktuellen Daten A bis D jeweils die zweite Prüfsumme PSA' bis PSD' gebildet. In den nachfolgenden Prüfschritten 100, 104, 108, 112 wird festgestellt, für welche Daten A bis D jeweils die erste Prüfsumme PSA bis PSD mit der zweiten Prüfsumme PSA' bis PSD' übereinstimmt. Bei Übereinstimmung wird zum nachfolgenden Schritt verzweigt, d.h. zu den Schritten 102, 106, 110 oder 114, und die fehlerfreien Daten werden jeweils in die anderen Speicherbereiche geladen, wie in vorgenannten den Verfahrensschritten 102, 106, 110 und 114 angegeben ist. Danach wird im Schritt 103 aus den neu abgespeicherten Daten die erste Prüfsumme gebildet und danach über den Schritt 118, in welchem die Fehler statistisch ausgewählt werden, im Schritt 120 das Programm verlassen.The program section IV shown in Figure 2e is processed with an error counter Z = 6. This number of errors Z is assigned to error type 3 or 6 (cf. Tables 3 and 6), which is indicated in step 96. in the subsequent step 98 becomes the current data A to D formed the second checksum PSA 'to PSD'. In the following test steps 100, 104, 108, 112 is determined for which data A to D the first checksum PSA to PSD with the second Checksum PSA 'to PSD' matches. If they match it branches to the next step, i.e. to steps 102, 106, 110 or 114, and the error-free Data is each in the other memory areas loaded, as in the aforementioned process steps 102, 106, 110 and 114. After that is created in step 103 from the newly stored Data is the first checksum and then the Step 118, in which the errors are statistically selected are exited from the program in step 120.

Wenn im Schritt 112 festgestellt wird, daß keine der ersten Prüfsummen PSA bis PSD mit den entsprechenden zweiten Prüfsummen PSA' bis PSD' übereinstimmt, so liegt der Fehlertyp 6 vor (Schritt 115), d.h. sämtliche Daten A bis D haben unterschiedliche Fehler. Eine Berichtigung der Daten A bis D ist nicht möglich. Daher wird im Verfahrensschritt 116 ein Fehlersignal erzeugt, das anzeigt, daß die sicherheitsrelevanten Daten A bis D in der Frankiermaschine fehlerhaft sind.If it is determined in step 112 that none of the first checksums PSA to PSD with the corresponding second checksums PSA 'to PSD', so there is error type 6 (step 115), i.e. all Data A to D have different errors. A Correction of data A to D is not possible. Therefore an error signal is generated in method step 116, this indicates that the security-relevant data A to D are faulty in the franking machine.

Das in Verbindung mit den Figuren 2a bis 2e beschriebene Ausführungsbeispiel behandelt die teilweise komplexen Fehlertypen 1 bis 6. In der Praxis kommt der Fehlertyp 1 am häufigsten vor, d.h. nur ein Speicherbereich hat einen Datenfehler; die Daten in den anderen Speicherbereichen sind jeweils einwandfrei. Für diesen in der Praxis bedeutsamen Fall wird im folgenden unter Bezugnahme auf das in der Figur 3 dargestellte Flußdiagramm ein vereinfachtes Ausführungsbeispiel der Erfindung beschrieben, bei dem keine Fehlerzahl Z ermittelt und ein Prüfsummenvergleich nicht durchgeführt wird. Demzufolge kann ein entsprechendes Programm sehr einfach aufgebaut sein und noch schneller abgearbeitet werden.That described in connection with Figures 2a to 2e Embodiment treats the part complex error types 1 to 6. In practice the Type 1 most common, i.e. just one Memory area has a data error; the data in the other storage areas are each flawless. For this case, which is significant in practice, is described below with reference to that shown in Figure 3 Flowchart a simplified embodiment of the Invention described in which no number of errors Z determined and a checksum comparison not is carried out. Accordingly, a corresponding one Program is very simple and even faster be processed.

Die in der Figur 3 dargestellten Verfahrensschritte 20 bis 28 stimmen in ihrer Abfolge mit den beim Ausführungsbeispiel nach Figur 2a erläuterten überein, mit der Ausnahme, daß die dort beschriebene Ermittlung der Prüfsumme über die Daten A, B, C, D und deren Speicherung wegfällt (Verfahrensschritt 24 in Figur 2a). Nach dem Durchführen der sechs Vergleiche V1 bis V6 wird im Schritt 122 geprüft, ob ein Speicherbereich A, B, C, D existiert, der an allen Vergleichen mit Datenfehler beteiligt war. Wenn dies nicht zutrifft, so wird zum Schritt 138 verzweigt, in welchem dieser Betriebszustand statistisch ausgewertet und anschließend das Programm im Schritt 140 verlassen wird.The method steps 20 shown in FIG. 3 to 28 agree in their sequence with those in the embodiment explained according to Figure 2a, with with the exception that the determination of the Checksum of data A, B, C, D and their storage does not apply (method step 24 in FIG. 2a). After making the six comparisons V1 through V6 it is checked in step 122 whether a memory area A, B, C, D exists at all comparisons with Data error was involved. If this is not the case, then the program branches to step 138, in which this operating state statistically evaluated and then the program is exited in step 140.

Wenn ein solcher Speicherbereich existiert, beispielsweise, wenn in Übereinstimmung mit der Tabelle 1 die Daten A fehlerhaft sind, so wird zum nächsten Schritt 124 verzweigt. In diesem wird festgestellt, daß die Daten A betroffen sind und im nachfolgenden Schritt 126 werden ordnungsgemäße Daten B, C oder D in den Speicherbereich a geladen. In analoger Weise wird verfahren, wenn Daten B (Verfahrensschritte 128 und 130), Daten C (Verfahrensschritte 132 und 134) oder Daten D (Verfahrensschritt 136) betroffen sind und durch ordnungsgemäße Daten jeweils ersetzt werden. Nach dem Ersetzen der Daten (Verfahrensschritte 126, 130, 134, 136) wird der festgestellte Fehler im Verfahrensschritt 138 statistisch ausgewertet und das Programm im Verfahrensschritt 140 verlassen.If such a storage area exists, for example, if in accordance with Table 1 if the data A is incorrect, then the next one Step 124 branches. This states that the data A are affected and in the subsequent step 126, correct data B, C or D are used in the Memory area a loaded. In an analogous way proceed if data B (process steps 128 and 130), data C (process steps 132 and 134) or Data D (method step 136) are affected and be replaced by correct data in each case. After the replacement of the data (method steps 126, 130, 134, 136), the error found in the procedural step 138 statistically evaluated and the program in Leave method step 140.

In Figur 4 ist ein weiteres Ausführungsbeispiel skizziert, das im wesentlichen mit dem zuvor beschriebenen Ausführungsbeispiel nach den Figuren 1 und 2 übereinstimmt. Im Unterschied zum vorherigen Ausführungsbeispiel werden aber nur vier Vergleiche V1, V2, V5, V6 zwischen den Daten A, B, C und D durchgeführt, d.h. die in Figur 1 skizzierten Vergleiche V3 und V4 wurden weggelassen. Entsprechend ändert sich bei den verschiedenen Fehlertypen 1 bis 6 gemäß den Tabellen 1 bis 6 jeweils die Fehlerzahl (es gilt nunmehr die Fehlerzahl Z') und die davon abhängigen Verfahrensschritte, wobei das Grundprinzip der Erfassung des Fehlertyps und die Berichtigung der Datenfehler beibehalten wird. Bei dem in Figur 4 gezeigten Ausführungsbeispiel kann die Überprüfung der Richtigkeit der gespeicherten Daten wegen der verringerten Zahl an Vergleichen sehr schnell durchgeführt werden. Dieses Ausführungsbeispiel wird daher für zeitkritische Anwendungen eingesetzt.Another exemplary embodiment is outlined in FIG. essentially with the previously described Embodiment according to Figures 1 and 2 matches. In contrast to the previous embodiment but only four comparisons V1, V2, V5, V6 performed between data A, B, C and D, i.e. the comparisons V3 and V4 outlined in FIG. 1 omitted. The changes in the different accordingly Error types 1 to 6 according to tables 1 to 6 each the number of errors (the Number of errors Z ') and the dependent ones Process steps, the basic principle of detection the type of error and the correction of the Data error is maintained. In the case of FIG Embodiment shown can be the review of the Accuracy of the stored data due to the reduced Number of comparisons carried out very quickly will. This embodiment will therefore used for time-critical applications.

In den Figuren 5a und 5b sind in einem Flußdiagramm die Verfahrensschritte zum Erfassen des Fehlertyps und die entsprechende Reaktion darauf dargestellt. Verschiedene Abfolgen von Verfahrensschritten stimmen mit denen in den Figuren 2a bis 2e überein und werden mit ihren Bezeichnungen auch in den Figuren 5a und 5b verwendet. Auf eine detaillierte Beschreibung derartiger Verfahrensschritte kann daher bei der Erläuterung des folgenden Ausführungsbeispiels verzichtet werden.In Figures 5a and 5b are in a flow chart Process steps for recording the type of error and the corresponding reaction to it is shown. Various Sequences of procedural steps agree with those in Figures 2a to 2e match and are with their Terms also used in Figures 5a and 5b. To a detailed description of such process steps can therefore in the explanation of the following embodiment are omitted.

Gemäß Figur 5a werden bei diesem Ausführungsbeispiel zunächst die bekannten Verfahrensschritte 20 bis 26 ausgeführt (vgl. Figur 2a). Im nachfolgenden Verfahrensschritt 142 werden die in Figur 4 eingezeichneten vier Vergleiche V1 , V2, V5, V6 durchgeführt und der Wert des Fehlerzählers Z' ermittelt. Die sich beim vorliegenden Ausführungsbeispiel ergebenden Fehlerzahlen Z' für die verschiedenen in den Tabellen 1 bis 6 dargestellten Fehlertypen sind dort in Klammern angegeben. Sie ergeben sich aus den Vergleichen V1, V2, V5, V6 mit jeweils fehlerhaften Daten, wobei die Vergleiche V3 und V4 nicht berücksichtigt werden. According to Figure 5a in this embodiment first the known process steps 20 to 26 executed (see FIG. 2a). In the subsequent process step 142 are shown in Figure 4 four comparisons V1, V2, V5, V6 performed and the value of the error counter Z 'is determined. Which resulting in the present embodiment Error numbers Z 'for the different ones in Tables 1 up to 6 types of errors shown are in brackets specified. They result from the comparisons V1, V2, V5, V6 each with incorrect data, the Comparisons V3 and V4 are not taken into account.

Wird im Schritt 144 festgestellt, daß der Fehlerzähler Z' den Wert 0 hat, so wird über den Verfahrensschritt 32 das Programm im Schritt 34 verlassen. Hat der Fehlerzähler den Wert Z' = 2, so wird zum Programmabschnitt V verzweigt, der weiter unten in Verbindung mit Figur 5b erläutert wird.It is determined in step 144 that the error counter Z 'has the value 0, the process step 32 leave the program in step 34. Did he Error counter has the value Z '= 2, it becomes the program section V branches in below Connection with Figure 5b is explained.

Bei einem Fehlerzähler Z' = 3 (Verfahrensschritt 148) wird zu Verfahrensschritten verzweigt, die im Programmabschnitt III in Figur 2d angegeben sind. Es liegt der Fehlertyp 5 vor, wie er in der Tabelle 5 definiert ist. Nach Ablauf der bereits beschriebenen Verfahrensschritte 84 bis 94 wird das Programm verlassen.With an error counter Z '= 3 (method step 148) is branched to procedural steps that in the program section III are given in Figure 2d. It lies error type 5 as defined in Table 5 is. After the process steps already described have expired 84 to 94 will exit the program.

Bei einer maximalen Fehlerzahl Z' = 4 wird über Verfahrensschritt 148 zum Programmabschnitt IV verzweigt, dessen Verfahrensschritte in Figur 2e dargestellt sind und den Fehlertyp 3 oder 6 behandeln (vgl. Tabelle 3 bzw. 6).With a maximum number of errors Z '= 4 is about Method step 148 branches to program section IV, the process steps shown in Figure 2e and treat error type 3 or 6 (cf. Table 3 and 6).

Im folgenden werden die in Figur 5b angegebenen Verfahrensschritte bei einem Fehlerzähler Z' = 2 beschrieben. Bei dieser Fehlerzahl Z' kann der Fehlertyp 1 oder der Fehlertyp 4 vorliegen (Verfahrensschritt 150). Diese Fehlertypen sind in den Tabellen 1 und 4 definiert. Es werden zunächst die auch beim Programmabschnitt II (Figur 2c) verwendeten Verfahrensschritte 62, 64 und 66 ausgeführt. In den Verfahrensschritten 66 und 152 wird entschieden, ob der Fehlertyp 1 oder der Fehlertyp 4 vorliegt. Handelt es sich um den Fehlertyp 4, d.h. die Daten zweier Speicherbereiche sind fehlerhaft, wobei jeweils derselbe Fehler vorliegt, so werden die aus dem Programmabschnitt II (Figur 2c) bekannten Verfahrensschritte 68 bis 72 oder die Verfahrensschritte 74 bis 78 ausgeführt und die Datenfehler korrigiert.The following are those given in FIG. 5b Process steps described with an error counter Z '= 2. With this number of errors Z 'the type of error 1 or error type 4 are present (process step 150). These types of errors are in Tables 1 and 4 Are defined. First there are also the program section II (Figure 2c) process steps used 62, 64 and 66 executed. In process steps 66 and 152, it is decided whether the error type is 1 or Error type 4 is present. Is it the type of error 4, i.e. the data of two memory areas are incorrect, where the same error is present, so those known from program section II (FIG. 2c) Process steps 68 to 72 or the process steps 74 to 78 executed and the data error corrected.

Wenn im Schritt 152 festgestellt wird, daß die Prüfsummen C' und C bei dem gewählten Beispiel übereinstimmen, so handelt es sich um den Fehlertyp 1, d.h. die Daten eines einzigen Speicherbereichs sind fehlerhaft. Zur Behebung des Fehlers werden die aus dem Programmabschnitt I (Fig. 2b) bekannten Verfahrensschritte 48 bis 52 ausgeführt. Zum Abschluß des Verfahrensablaufs wird eine statistische Auswertung im Schritt 80 vorgenommen und über Verfahrensschritt 82 das Programm verlassen.If it is determined in step 152 that the Checksums C 'and C match in the selected example, it is error type 1, i.e. the data from a single memory area is incorrect. To correct the error, the from the Program section I (Fig. 2b) known method steps 48 to 52 executed. At the end of the A statistical evaluation is carried out in the process Step 80 is carried out and via method step 82 leave the program.

Claims

Method for storing data that is relevant to security in a franking machine, by which method identical data (A, B, C, D) is stored in a plurality of storage areas (a, b, c, d), the data (A, B, C, D) is read back out from the storage areas (a, b, c, d) and data (for example A) of the one storage area (a) is compared with data (for example B, C, D) of another storage area (for example b, c, d), and by which method storage areas having erroneous data are detected, characterised in that identical data (A, B, C, D) is stored in at least four storage areas (a, b, c, d), in that the data (A, B, C, D) of each storage area (a, b, c, d) is compared with the data (A, B, C, D) of further storage areas (a, b, c, d), and in that as a function of this comparison (V1 to V6) the storage area or storage areas (a, b, c, d) that has/have erroneous data (A, B, C, D) is/are detected and, if applicable, reloaded with data (A, B, C, D) from a storage area (a, b, c, d) having non-erroneous data.
Method according to claim 1, characterised in that the data (B, D) is stored in an inverted manner in at least two storage areas (b, d), and in that for the purposes of comparison with non-inverted data (A, C) the inverted data (B, D) is negated.
Method according to claim 1 or 2, characterised in that the comparison (V1 to V6) of the data (A, B, C, D) is effected by means of an exclusive-OR operation.
Method according to one of the preceding claims, characterised in that the comparison (V1 to V6) is carried out byte by byte in a bit-oriented manner.
Method according to one of the preceding claims, characterised in that an error number (Z) is determined that indicates how often there is a lack of correspondence of the data (A, B, C, D) of the storage areas (a, b, c, d), and in that these errors are eliminated as a function of the error number (Z).
Method according to claim 5, characterised in that before or when storing the data (A, B, C, D) in the storage areas (a, b, c, d) a first check sum (PSA to PSD) is formed from the data (A, B, C, D) of each storage area (a, b, c, d) and is stored, and in that, when reading out the data (A, B, C, D) or afterwards, a respective second check sum (PSA' to PSD') is determined from the data (A, B, C, D) of the storage areas (a, b, c, d) and is compared with the first check sum (PSA to PSD), and in that errors are eliminated as a function of the comparison of the check sums (PSA to PSD; PSA' to PSD').
Method according to one of the preceding claims, characterised in that in the case of four storage areas (a, b, c, d) four comparisons (V1, V2, V5, V6) of the data (A, B, C, D) and, if applicable, of the check sums (PSA to PSD; PSA' to PSD') are carried out.
Method according to one of the claims 1 to 6, characterised in that in the case of four storage areas (a, b, c, d) six comparisons (V1 to V6) of the data (A, B, C, D) and, if applicable, of the check sums (PSA to PSD; PSA' to PSD') are carried out.
Method according to claim 8, characterised in that in the case of an error number (Z) of 3 that storage area (A) which has shown data errors in three comparisons (V1, V2, V3) is determined, in that the first check sum (PSA) and the second check sum (PSA') of this storage area (a) are compared with each other, and in that this storage area (a) is loaded with data (B) or inverted data from one of the other storage areas (b) if no correspondence has been established in the check sum comparison (46).
Method according to claim 8, characterised in that in the case of the error number (Z) of 3 that storage area (a) which has shown data errors in three comparisons (V1, V2, V3) is determined, in that the first check sum (PSA) and the second check sum (PSA') of this storage area (a) are compared with each other, and in that the data (A) of this storage area (a) is stored in the other storage areas (b, c, d) if correspondence has been established in the check sum comparison (46).
Method according to claim 8, characterised in that in the case of the error number (Z) of 4 those storage areas (a, c; b, d), the comparisons (V2,V5) of the data (A, B, C, D) of which have shown correspondence, are determined, in that of these storage areas those storage areas (a, c; b, d) without data errors are determined by means of a check sum comparison (66), and in that the data (A or C; B or D) of one of these storage areas (a, c; b, d) is stored in the error-containing storage areas (b, d; a, c).
Method according to claim 8, characterised in that in the case of the error number (Z) of 5 those storage areas (b, d) which have correspondence of the data (B, D) are determined, and in that the data (B or D) of one of these storage areas (b, d) is loaded into the other storage areas (a, c).
Method according to claim 8, characterised in that in the case of the error number (Z) of 6 a check sum comparison (100, 104, 108, 112) is carried out for each storage area (a, b, c, d), and in that the data of the storage area that has a positive result of comparison (102, 106, 110, 114) is loaded into the other storage areas.
Method according to claim 13, characterised in that in the case of a negative result for all the check sum comparisons an error signal (116) is generated that indicates that the error cannot be eliminated.
Method according to one of the preceding claims, characterised in that the first check sum (PSAn to PSDn) is formed anew from the data (An, Bn, Cn, Dn) to be stored in storage areas (a, b, c, d) having previously erroneous data (A, B, C, D) and is stored.
Method according to one of the preceding claims, characterised in that the errors which occur over a given period of time per storage area (a, b, c, d) are determined and indicated.
Method according to one of the preceding claims, characterised in that it (the method) is automatically carried out at given time intervals or as a function of an external event (26).
Method according to one of the preceding claims, characterised in that the data (A, B, C, D) is stored in electronic stores (10, 12) which are physically separate from each other.